接上篇《天羅地網物聯網系列：10 個物聯網大威脅(上)》

之前看完了第10名到第6名的選手，今天就來看看對物聯網(IoT)前五名分別是哪些威脅吧!

[[282766]]

第5名：使用不安全或過時的組件

使用已停止維護或不安全的軟件組件/函式庫，導致設備可能被入侵。這亦包含了不安全的客制化操作系統，以及使用來自供應鏈中已被入侵的廠商所提供的第三方軟硬件組件。

第4名：缺乏安全更新機制

缺乏安全進行設備更新的能力，這包含了缺乏設備韌體的驗證、缺乏數據傳輸時之加密、缺乏防版本回刷機制，及缺乏因應更新而導致之安全性改變之通知。

第3名：不安全的操作系統接口

可用于操控IoT設備的不安全的網頁、后端API、云端或智能型手機接口，導致設備可能遭入侵并影響相關組件。常見的問題包括缺乏身份驗證機制、缺乏加密機制，或是加密機制很弱，以及缺乏輸出入信息的過濾。

第2名：不安全的網絡服務

設備上運行有非必要或是不安全的網絡服務，特別是那些可以直接由因特網存取的設備，并造成信息之保密性、一致性及可用性受影響，并導致允許未經授權的遠程訪問。

第1名：弱密碼、容易被猜到的密碼及寫死的密碼

使用容易就能被暴力破解的密碼、能夠公開取得的密碼、或是沒有改變過的默認密碼，例如韌體中藏有之后門，以及透過客戶端的軟件提權并進到布建的系統內部等。

補充一下，大部分的IoT殭尸網絡都是透過這個威脅取得目標設備的訪問權限，并透過該設備進行下一步的對外攻擊。

以上就是由OWASP所發展出IoT的前10大威脅清單，也建議各位在建置或管理IoT時應該要確認一下，是不是有剛好踩到這些雷，以免造成設備遭入侵或數據外泄導致損失喔!